X.Org Serverに2年近く前から存在した脆弱性が修正される

X.Org Serverに2年近く前から存在した脆弱性が修正される 22

ストーリー by hylom 2018年11月01日 7時00分
X11の重い歴史部門より

headless曰く、

10月25日にリリースされたX.Org Server 1.20.3では、2年近く前から存在し、最近発見された権限昇格や任意ファイル上書きが可能になる脆弱性が修正されている（アナウンス、Phoronix）。
この脆弱性CVE-2018-14665は、コマンドラインパラメーター（-modulepathおよび-logfile）の検証が適切に行われないことが原因だ。そのため、X.Org Serverが特権実行されている場合に権限昇格（-modulepath）または任意ファイル上書き（-logfile）が可能になる（セキュリティアドバイザリー）。
原因となった変更は2016年5月にコミットされたもので、2016年11月リリースのX.Org Server 1.19.0で導入され、X.Org Server 1.20.2まで脆弱性の影響を受ける。X.Org Server 1.20.3ではX.Org Serverが特権実行されている場合にこれらのコマンドラインパラメーターを無効化する形で修正が行われた。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索22コメント Log In/Create an Account

もにょる修正 (スコア:0)

by Anonymous Coward on 2018年11月01日 7時40分 (#3508052)

権限ある場合だけ落とすってそれでいいのか？
特権なくても任意コードやファイル変更起こせるのでは？
と思ったが……
パラメータの解釈ミスっていうか、正しく解釈した結果アプリの権限内でログの書き出しやモジュール読み込みをするっていうそれだけの話なのね。
なんというか、根本的にはsetuidやらされうるアプリではパラメータでその辺設定できること自体が問題って事なんだろうか。
# パッチで判定している「特権」ってsetuid類全てなんだろうか？違うなら概ね解決であっても完全とはならんよね。
- Re:もにょる修正 (スコア:1)
  
  by Anonymous Coward on 2018年11月01日 12時32分 (#3508194)
  
  X.Orz
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  何が言いたいのか･･･
  - Re:Xは時代遅れ (スコア:1)
    
    by Anonymous Coward on 2018年11月01日 8時58分 (#3508081)
    
    Xwindowsとか言ってる時点でおっさんの釣り
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Xwindows って何？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      XWindows Dock [wikipedia.org]のことではないと思う、たぶん。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      SX-Windowの'S'が後ろに移動したんじゃないかな
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Surface Flinger を使えと言いたいんだろうが、それを言うなら Ozone-gbm のほうがいいのではないでしょうか。
    ChromeBook を使えばいいと思います。
    # 使ったことないけど
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Windows10にアップグレードするとディスプレイがタッチパネルになると思ってた人も結構いたしその類いでは？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      10でなく8登場時のネタじゃねの?
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    覚えたての言葉を使ってみたかったんだけど、案の定盛大に滑っただけなのでは？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      これだけ釣れれば滑ってないだろう
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ターミナルをフルスクリーンや上下2分割で表示してもうれしくないな。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ターミナルの分割って結構便利だと思うけど。
    #tmux使ってますがsshのリモートで入るとき便利ですよ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  正直微妙。
  全くデスクトップ向けではないし、何よりデスクトップPCや非Unix OSで気軽に動かせない。
  UI周りを分離して、普通のLinuxデスクトップやWindowsで動くようならXは時代遅れと言えたかもしれん。
  現状なら大昔のXの方がAndroidより先進的だといわざるを得ない。
  もちろんUWPはその遥か先を行く。
  流石にモバイル端末をX Window Systemで動かそうと思う人はあまりいないだろうけど、Android以前のモバイル端末ではなくはなかったアプローチだしUbuntu Touchとかはぱっと見はそれっぽい。
  正直GoogleはAndroidの初期設計時にいろいろ失敗したと思う
  - Re:Xは時代遅れ (スコア:2)
    
    by hjmhjm (39921) on 2018年11月01日 20時03分 (#3508479)
    
    超々オーバースペック。
    当時のスペックにはもちろん、今のスペックでも。
    とりあえず、バッテリの性能を上げるところからどうぞ。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    カラオケ屋のタッチパネル付きリモコンの再起動中の見た目が素のXだったのは見たことあるけど今はどうなんだろ。
    動かすアプリを限定した機器ではAndroidベースにするよか手軽な気もするが……
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      開発環境やエンジニアの確保を考えると、トータルコストでは、Androidを採用する方が絶対にお手軽。
      XでChromium/Electronを使ってウェブベースで開発するっていうのは無きにしも非ずだけど、いずれにしてもベアメタルのLinux/Xで開発するとかは今時しんどいよね。
- スラドのレベルも下がったな (スコア:0)
  
  by Anonymous Coward
  
  Androidがどういうプロセスで画面を描写しているのかの知識があれば、XとAndroidを同列に語ったりしないだろう。
  今のスラドのレベルなんてこんなもの。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    アレな一匹を見て全体を語る
    スラドのレベルなんて昔からこんなもん
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      唯一ついてるマイナスじゃないコメントもずいぶんだと思うが。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

もにょる修正 (スコア:0)

Re:もにょる修正 (スコア:1)

Re: (スコア:0)

Re:Xは時代遅れ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:Xは時代遅れ (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

スラドのレベルも下がったな (スコア:0)

Re: (スコア:0)

Re: (スコア:0)